LNK Stomping: ярлыки .lnk обходят MoTW и защиту Windows
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

LNK Stomping: ярлыки .lnk обходят MoTW и защиту Windows

Екатерина Быстрова 22 Сентября 2025 - 13:17
...
LNK Stomping: ярлыки .lnk обходят MoTW и защиту Windows

Исследователи рассказали о новом приёме киберпреступников под названием LNK Stomping, который позволяет обходить защитные механизмы Windows (Mark of the Web) и запускать вредоносные ярлыки без предупреждений системы. Речь идёт о файлах ярлыков (.lnk), которые давно стали популярным инструментом для атак.

Особенно характерна эта тенденция после того как Microsoft в 2022 году ужесточила правила блокировки макросов.

Обычно такие ярлыки распространяют через вложения в письмах или архивы, маскируя их под документы. При запуске они вызывают «доверенные» системные утилиты вроде PowerShell или cmd.exe, что затрудняет выявление угрозы.

Чтобы бороться с этим, в Windows работает защита Mark of the Web (MoTW), которая отмечает скачанные из интернета файлы специальным метаданными. Именно на основе этих меток SmartScreen и Smart App Control проверяют репутацию файла и предупреждают пользователя.

Но приём LNK Stomping, описанный Elastic Security Labs, ломает эту логику. Он эксплуатирует ошибку в процессе обработки ярлыков Проводником Windows: система «нормализует» пути внутри ярлыка и пересохраняет его заново, при этом метка MoTW пропадает. В результате файл выглядит безопасным, и защита его больше не блокирует.

 

Исследователи выделяют три основных способа внедрения ошибок в структуру ярлыка:

  • PathSegment — весь путь указывается как один элемент массива,
  • Dot — добавляются точки или пробелы в путь,
  • Relative — используется только имя файла без полного пути.

В тестах Elastic Security Labs заражённые ярлыки без этой техники блокировались Smart App Control, а с LNK Stomping запускались без предупреждений.

Уязвимость получила номер CVE-2024-38217 и была закрыта патчем в сентябре 2024 года. Но интересен факт: на VirusTotal нашли образцы с LNK Stomping, загруженные ещё шесть лет назад, что говорит о долгой подпольной эксплуатации.

CISA включила уязвимость в список активно эксплуатируемых, что подтверждает её использование в реальных атаках. Хотя конкретным группам эта техника пока не приписана, угрозу называют «постоянной, а не теоретической».

Эксперты советуют организациям убедиться, что обновления от сентября 2024 года установлены, и внедрять поведенческие правила для обнаружения подозрительных ярлыков, ведь простые сигнатурные методы тут уже не помогут.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Депутат Антропенко предупредил о фишинговых сайтах по продаже икры
Яков Шпунт 24 Ноября 2025 - 13:41
МошенничествоОнлайн-мошенничество Домашние пользователи
Депутат Антропенко предупредил о фишинговых сайтах по продаже икры

В преддверии новогодних праздников злоумышленники заметно увеличили число фишинговых сайтов, предлагающих купить икру и морепродукты. Такие ресурсы привлекают низкими ценами, а их оформление зачастую почти не отличается от легитимных интернет-магазинов.

Об усилении мошеннической активности РИА Новости рассказал член комитета Госдумы по промышленности и торговле Игорь Антропенко. По его словам, количество поддельных сайтов, продающих икру и морепродукты, растёт по мере приближения праздников.

«С учетом развития интернета мошенникам сегодня не составляет труда создать фишинговый сайт и связанные с ним страницы в соцсетях, наполнив их привлекательными изображениями. Всё это создает иллюзию работы легитимного магазина», — отметил депутат.

Согласно статистике МВД, покупатели таких фейковых магазинов рискуют получить вместо товара брак, фальсификат или даже пустую коробку. По-прежнему распространена схема, когда мошенники запускают сайт на ограниченное время, собирают деньги с покупателей, после чего «клон» магазина бесследно исчезает.

«Если всё же возникает желание заказать что-то в неизвестном магазине, никогда не стоит заранее сообщать реквизиты банковских карт и оплачивать товар до его получения. И хочу напомнить: будьте осторожны при покупке икры “на вес”, поскольку во многих случаях не соблюдаются условия хранения и транспортировки такого продукта», — предостерёг Игорь Антропенко.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
ФБР закрыло BreachForums: ShinyHunters объявили об окончании эпохи форумов
Новость
ФБР закрыло BreachForums: ShinyHunters объявили об окончании...
Мошенники активизировались перед премьерами Apple
Новость
Мошенники активизировались перед премьерами Apple
ИИ Яндекса отражает до 150 DDoS-атак в месяц — 99,9% автоматически
Новость
ИИ Яндекса отражает до 150 DDoS-атак в месяц — 99,9% автомат...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.